Ddostf僵尸网络在MySQL服务器上部署攻击
“Ddostf”僵尸网络将其活动重点放在 MySQL 服务器上,目的是控制并向其他网络犯罪分子提供其 DDoS 功能作为服务。
AhnLab 安全紧急响应中心 (ASEC) 的研究人员在定期检查针对数据库服务器的危险时发现了这一威胁。 ASEC 透露,Ddostf 的操作者利用尚未更新的 MySQL 设置中的弱点,或尝试通过猜测管理员帐户的弱密码进行入侵。他们主动扫描互联网上暴露的 MySQL 服务器,尝试通过尝试各种管理员凭据来破坏它们。
对于 Windows MySQL 服务器,攻击者使用称为用户定义函数 (UDF) 的功能在受感染的系统上运行命令。 MySQL 中的 UDF 允许用户用 C 或 C++ 创建函数并将其编译为 DLL 文件,从而扩展数据库服务器的功能。
在这种情况下,攻击者创建自己的UDF,并将其作为具有恶意功能的DLL文件(amd.dll)注册到数据库服务器,包括下载Ddostf DDoS僵尸程序有效负载,执行系统级命令,以及将命令执行结果发送到数据库服务器。攻击者。这种 UDF 滥用有助于加载攻击的主要有效负载,即 Ddostf 机器人客户端,但它也可能导致其他恶意软件安装、数据盗窃以及创建用于持久访问的后门。
Ddostf 僵尸网络的起源
Ddostf 是大约七年前发现的源自中国的恶意软件僵尸网络,它针对 Linux 和 Windows 系统。在 Windows 上,它通过在初始运行期间伪装成系统服务来确保持久性,然后解密其命令和控制 (C2) 配置以建立连接。该恶意软件收集有关主机系统的信息,例如 CPU 详细信息、语言、Windows 版本和网络速度,并将这些数据发送到其 C2。
然后,C2 服务器可以向僵尸网络客户端发送各种命令,包括不同类型的 DDoS 攻击、请求停止发送系统状态信息、切换到新的 C2 地址或下载并执行新的有效负载。 ASEC 指出,Ddostf 连接到新 C2 地址的能力使其有别于大多数 DDoS 僵尸网络恶意软件,从而使其更能抵御攻击。
为了防范这些威胁,网络安全公司建议 MySQL 管理员保持系统更新,并使用长而独特的密码来防止暴力破解和字典攻击。